Już od ponad dwóch lat trwa dyskusja nad kontrowersyjnym projektem Komisji Europejskiej, zwanym potocznie kontrolą czatu. Jak obecnie wyglądają prace nad tą kontrowersyjną regulacją, która zagraża prywatności nas wszystkich?
Więcej na temat kontroli czatu pisali już w naszym serwisie – Gosia Fraser czy Michał “Rysiek” Woźniak w oko.press. Zaproponowane w maju 2022 r. “Rozporządzenie Parlamentu Europejskiego i Rady ustanawiające przepisy mające na celu zapobieganie niegodziwemu traktowaniu dzieci w celach seksualnych i jego zwalczanie” nakłada na dostawców usług szereg nowych obowiązków, które dla użytkowników oznaczałyby koniec prywatności w internecie.
Przebieg prac i kontrowersyjne pomysły prawne
Kolejne prezydencje UE zgłaszały swoje poprawki do regulacji – spierano się o to, jakie dokładnie obowiązki powinny spoczywać na usługodawcach, czy wykrywszy podejrzane treści dostawca usług powinien zareagować od razu lub, czy poddając użytkowników masowej inwigilacji, powinno się wyszukiwać jedynie znane już przypadki CSAMu (child sexual abuse material) – czy także szukać nowych.
Debatowano, które formy komunikacji (tekst, grafika, audio, wideo) mają podlegać skanowaniu, a które mogą zostać z niego wyłączone. Wedle różnych pomysłów, inwigilacja użytkowników byłaby obowiązkowa lub teoretycznie dobrowolna – ale z zastrzeżeniem, że gdyby się na nią nie zgodzili, to nie mogliby wysyłać zdjęć ani filmów.
Pomijając te niuanse, pomysłodawcy byli jednak zgodni co do tego, że Europejczycy powinni zostać poddani masowej inwigilacji, a Belgia sugerowała nawet, by na główny cel wziąć właśnie usługi zapewniające anonimowość i szyfrowanie.
Sprzeciw wobec kontroli czatu
Propozycja siłą rzeczy spotkała się z protestami – i to na taką skalę, że określano ją, nie bezpodstawnie, mianem “najbardziej krytykowanego projektu prawnego w historii UE“.
Specjaliści od cyberbezpieczeństwa zwrócili uwagę, iż obecna technologia nie pozwala na skuteczne wyselekcjonowanie “podejrzanych” materiałów, a proponowane rozwiązanie uderzyłoby w szyfrowanie end-to-end, wymagając pozostawienia backdoorów lub skanowania po stronie klienta.
Obrońcy praw podstawowych i przedstawiciele społeczeństwa obywatelskiego dostrzegli zagrożenie dla prywatności, której szyfrowanie jest gwarantem. Obrońcy danych osobowych zaś zauważyli, że niebezpieczne są zarówno samo zbieranie danych wrażliwych, jak i gromadzenie ich w centralnym rejestrze, do którego wiele różnych osób miało by dostęp.
Podniesiono kwestie kontrowersji związanych z przymusową weryfikacją wieku. Krytyka padła też ze strony środowiska wolnego oprogramowania, którego wolontariusze nie byliby w stanie sprostać stawianym wymaganiom, przez wzgląd na czasochłonność i zdecentralizowany charakter usług.
Organizacje broniące praw dziecka alarmowały, że cierpią przede wszystkim na niedofinansowanie i braki kadrowe i to te czynniki utrudniają im działanie, zaś masowa inwigilacja dotknęła by także ich podopiecznych, mających prawo do prywatności.
Przy okazji przypomniano obszerną analizę Międzynarodowej Sieci na rzecz Praw Dziecka (CRIN – Child Rights International Network) i brytyjskiej organizacji Defend Digital Me, ostrzegającą przed techsolutionismem.
Badacze i naukowcy napisali kolejny już list otwarty, odnosząc się do kolejnej wersji projektu – i wciąż wskazując na niedoskonałość technologii, ryzyko masowej inwigilacji i fałszywych podejrzeń, zagrożenie dla cyberbezpieczeństwa i szyfrowania end-to-end.
Przedstawiciele biznesu zwrócili uwagę, że rozporządzenie zagroziłoby bezpieczeństwu danych.
Nawet reprezentanci służb przyznali, że już teraz brakuje im zasobów, a konieczność dodatkowego analizowania przypadkowych zdjęć utrudniłaby im pracę i zabrała cenny czas potrzebny na badanie prawdziwych przestępstw. Projekt skrytykowali także politycy różnych opcji, unijni eksperci, prawnicy i komisje Parlamentu Europejskiego.
Unia Europejska walczy z oporem społecznym
W międzyczasie na jaw wyszły działania KE, które podkopały i tak już wątły wizerunek instytucji.
Po pierwsze, Komisja zdecydowała się walczyć z legalnym oporem społecznym stosując sprzeczną z unijnym prawem (DSA) mikrotargetowaną kampanię reklamową na X / Twitterze. Kierowano ją do osób w poszczególnych krajach europejskich – ale nie do tych zainteresowanych prywatnością, chrześcijaństwem czy mających bardziej eurosceptyczne nastawienie.
Po drugie dziennikarskie śledztwo (1, 2, 3, 4) ujawniło sojusz firm technologicznych, organów bezpieczeństwa, agencji PR i podejrzanych organizacji, lobbujących na rzecz projektu, których przedstawiciele mieli pozostawać w kontakcie zarówno z Ursulą von der Leyen (przewodniczącą Komisji Europejskiej), jak i Ylvą Johansson (komisarką UE do spraw wewnętrznych).
Jedną z tych organizacji jest Thorn – formalnie fundacja non-profit, która jednak, wraz z firmą Safer, sprzedaje oprogramowanie do wykrywania CSAM. Klientem przedsiębiorstwa jest m.in. amerykański Departament Bezpieczeństwa Wewnętrznego, od którego firma zażyczyła sobie 4 mln dolarów za licencję na oprogramowanie. Inny kontrowersyjny podmiot to WeProtect Global Alliance – organizacja powstała z połączenia 2 inicjatyw rządowych – jednej współtworzonej przez KE i władze USA, drugiej zaś przez brytyjskie MSW.
Po trzecie – KE nieraz odmawiała ujawnienia informacji publicznej. Gdy Europejski Rzecznik Praw Obywatelskich nakazał Komisji opublikowanie listy ekspertów, z którymi konsultowano projekt, ta odmówiła – finalnie listę upublicznił na swoim mastodonowym koncie europoseł Patrick Breyer. Lista zawierała 32 nazwiska: 4 ze środowisk akademickich, 9 z organizacji pozarządowych, 9 z agencji rządowych i 10 reprezentującymi biznes (w tym gronie dominowały Microsoft i Google).
W konsultacjach, poza przedstawicielami europejskich służb, brało udział 2 przedstawicieli brytyjskich służb specjalnych i 2 z australijskiej policji federalnej. Stronę społeczną reprezentowały 2 organizacje z USA, 2 z Kanady oraz złożona z aż 5 przedstawicieli reprezentacja Fundacji Thorn – przy czym jeden z reprezentantów organizacji miał wcześniej pracować w FBI.
Co dalej?
Grupa Robocza ds. egzekwowania prawa debatowała nad propozycją ponad 31 razy, żadnej z prezydencji nie udało się jednak przeforsować rozporządzenia.
Finalnie w czerwcu tego roku Belgia wiedząc, że nie zdobędzie wymaganej większości, zdjęła projekt z agendy.
Obecnie, już w czasie prezydencji węgierskiej, temat powraca.
Rada miała debatować nad rozporządzeniem w środę 2 października 2024 r. – i istniało spore ryzyko, że pomysł zostanie przegłosowany. Swój sprzeciw wycofała bowiem Francja, co oznaczało, że pozostałe niechętne projektowi państwa (Polska, Austria, Niemcy, Estonia, Słowenia, Luksemburg) mogą nie osiągnąć tzw. mniejszości blokującej.
Gdy jednak swój sprzeciw zgłosiły Niderlandy – punkt znów wypadł z porządku obrad. Wygląda to tak, jakby pomysłodawcy chcieli przepchnąć pomysł za wszelką cenę, przy pierwszej, nadarzającej się okazji.
Temat powraca jak bumerang, a prywatność Europejczyków wciąż jest zagrożona.
